De kunst van het NIS 2-proof maken van je organisatie zónder onnodige toeters en bellen
Klinkt het volgende bekend?: “Ja, Information Security en Privacy vinden wij heel belangrijk, we gaan er zeker mee aan de slag” en dan blijft het stil.. Desgevraagd vindt Senior Management de hygiëneprocessen, zoals onder meer privacy en informatiebeveiliging dus heel belangrijk, en laten we eerlijk zijn, is er überhaupt een ander antwoord mogelijk?
In de praktijk houden wij ons veel liever bezig met de meer sexy aspecten van hun organisatie zoals bijvoorbeeld de ontwikkeling, innovatie/vernieuwing en levering van diensten, dat zijn de leuke dingen en niets menselijks is ons tenslotte vreemd. Mede om deze reden heeft de Europese Unie besloten dat het managen van onze risico’s niet af moet hangen van toevalligheden en de welwillendheid van onze aanvallers, maar worden organisaties verplicht om zelf aantoonbaar regie te nemen op het managen van al hun risico’s, de zogenoemde all-hazard-benadering.
De NIS 2 is onderdeel van een set van maatregelen van de Europese Unie om de digitale wereld, inclusief cyberbeveiliging, in een breed scala van kritieke sectoren te versterken. Naast de NIS 2 is erbij voorbeeld ook de DORA, de AI Act, de Cyber Solidarity Act etc. Al die regelgeving vertoont wel wat overlap, maar in essentie is het zorgen dat je jouw risico’s kent, beoordeeld en managet.
De uitbreiding van de NIS 2 ten opzichte van de vorige richtlijn NIS 1 verbreedt niet alleen de reikwijdte van de betrokken entiteiten, maar stelt ook hele concrete eisen aan wát je dan moet regelen in onder meer jouw Supply Chain (-s), voor Business Continuity Management en de crisis management organisatie, met een vaak niet overbodige stok achter de deur voor de notoire ja-zeggers maar nee-doeners. Je riskeert niet alleen een fikse boete maar ook je persoonlijke imago is in het geding.
Hoe kom je nu tot een lean & mean implementatie van de NIS 2 vereisten voor jouw organisatie?
Deze concrete stappen helpen voor organisaties die zich voorbereiden op de effectieve implementatie van de NIS2-richtlijn.
We beginnen met “INVENTARISEREN”. Waar hebben we het over, is dat voor de beslissingnemers helder en is er voldoende support in de organisatie?
Zorg voor inzicht in de reikwijdte en impact van NIS2 op strategisch niveau: Hygiëneprocessen en bottom-up-benadering gaan niet samen. Als de top het in woord én daad belangrijk vindt, dan is dat al de helft van jouw succes en heb je die support niet, zet het dan in de ijskast totdat je het wel hebt.
De NIS 2 gaat over alle kroonjuwelen, mensen, middelen en informatie/data. Dit gaat dus verder dan alleen het managen van jouw informatie en data risico’s en vraagt Integraal Risico Management (IRM).
Als voorbeeld stelt de NIS 2 strenge beveiligingsmaatregelen en verplichtingen op voor het melden en managen van incidenten in verschillende sectoren, waaronder onder meer de digitale infrastructuur, operationele infrastructuur (bruggen, verkeerssystemen etc.), financiële diensten en gezondheidszorg. Een zorgaanbieder moet nu bijvoorbeeld niet alleen de vertrouwelijkheid en integriteit van patiëntgegevens garanderen, maar ook de veerkracht van zijn IT-systemen tegen geavanceerde cyberdreigingen kunnen aantonen.
Bepaal jouw aanpak voor de implementatie: De implementatie van NIS2 vereist een gestructureerde aanpak, waarbij uitgebreide planning, betrokkenheid van belanghebbenden en managementondersteuning worden geïntegreerd.
Identificeer jouw stakeholders: De directie vindt het belangrijk en zorgt voor prioriteit en tijd. Echter de uitvoering vindt plaats op tactisch/operationeel niveau. Identificeer dus de belanghebbenden die door de richtlijn worden beïnvloed. Stel voor elke afdeling/unit vast welke directe of indirecte belangen zij hebben, hou rekening met hun invloed en de impact van de richtlijn op hun activiteiten. IT- en cyberbeveiligingsteams zullen bijvoorbeeld sterk betrokken zijn bij technische aanpassingen, terwijl HR training- en bewustmakingsprogramma’s zal moeten beheren.
Identificeer jouw processen: Als entiteit val je onder de NIS 2, dus zelfs het proces kroketten bestellen valt formeel in de scope, maar het is natuurlijk niet logisch om daar te beginnen. De bedoeling is dat je risicogebaseerd gaat werken. En vergeet je change-, project- en programmaprocessen niet, elke verandering brengt risico’s met zich mee en het is niet ongebruikelijk dat “security” pas om 2 voor 12 wordt betrokken.
Maak een backlog (of een “to-do lijst”): Het in beeld hebben van al jouw processen is de eerste stap naar de volgende, namelijk het identificeren van je hoog-risicoprocessen. Dit zijn dan de processen die je als organisatie als eerste in control moet brengen en er moeten ook nieuwe processen worden gemaakt. Je creëert dus een backlog waarbij je periodiek kijkt op basis van de door de directie beschikbaar gestelde mensen, middelen en risico’s welke er aan de beurt zijn. Handige tools hiervoor zijn onder meer Planner en JIRA.
Dan gaan we het ORGANISEREN, deze randvoorwaarden maak je in orde om te zorgen dat jouw besturing en support goed is verankerd in de organisatie.
Betrek jouw organisatie : Onbekend maakt onbemind. Betrek elke stakeholdergroep en maak ze bewust van hun belang en hun rol in het proces. Hoe fijn is het wel niet dat jij als proceseigenaar voor bijvoorbeeld patiëntenzorg, service desk of van een medicijnenproductielijn straks met overtuiging kunt zeggen dat je alle risico’s hebt beoordeeld, daar passende maatregelen op hebt genomen en dat ook kunt aantonen! Deze strategie toont meteen de waarde van NIS 2-compliance voor hun functionele gebied aan. Concreet kun je met Operations bespreken hoe NIS 2-compliance bescherming biedt tegen verstoringen van de bedrijfsvoering, de algehele veerkracht van de organisatie verbetert en op deze verbeterde solide basis is het ook weer veel makkelijker om sexy innovaties en vernieuwingen te realiseren.
Communicatie: Het lijkt o zo makkelijk, maar is één van de lastigste onderwerpen. In veel medewerkerstevredenheidsonderzoeken scoort dit relatief laag. Je communiceert te vroeg, te laat, te gedetailleerd, te hoog over of gewoon niet… Dat is een gegeven waardoor je je vooral niet moet laten tegenhouden, zorg in ieder geval dat je zichtbaar en toegankelijk bent door bijvoorbeeld:
- Een planning waarbij je gericht op Operationeel, Tactisch en Strategisch niveau jouw updates, feedback en mijlpalen deelt.
- Het gebruik van platforms zoals Viva Engage, Slack, Intranet en Teams waarbij je mensen aanmoedigt om hun vragen en overdenkingen bij je te uiten.
- Regelmatige workshops kunnen ook bijzonder effectief zijn bij het aanpakken van problemen, het bevorderen van een dialoog over de impact van de richtlijn en het bespreken van de voortgang.
- En combineer dit waar mogelijk met andere overlappende gebieden zoals Privacy, Weerbaarheid, Integrale Veiligheid.
Organiseer jouw besturing: Zet de opdrachtgever in het middelpunt als voorzitter van jouw stuurgroep en zorg dat daarin op strategisch niveau een goede vertegenwoordiging is vanuit de achterban. Op tactisch niveau zet je een multifunctioneel team op dat op procesniveau toezicht houdt op de operationele kant van het NIS 2-implementatieproject. Deze club moet bestaan uit procesmanagers, leidinggevenden, van IT-, beveiligings-, juridische en bedrijfseenheden om een integrale aanpak te garanderen. Bij een financiële instelling kunnen dit bijvoorbeeld de CISO, het hoofd Compliance, een senior IT-manager en een vertegenwoordiger van het risicobeheerteam zijn.
Selecteer een goede projectmanager! Het managen van verandering het is primair het managen van mensen. Stel een projectmanager aan die processen, IT en compliance-projecten snapt en die bovenal begrijpt wat er nodig is om mensen in beweging te krijgen en te houden.
En dan ga je IMPLEMENTEREN met als doel tot een continu proces met PDCA cyclus te komen
Voer een gap-analyse uit: Heb je al jouw processen in beeld en op jouw backlog? Nee? Dan is dat gap nummer 1. Zijn de hoog-risicoprocessen al bekend en vastgesteld door de directie? Zijn de processen actueel op functioneel beschreven en toetsbaar? Zijn alle assets beoordeeld? Enzovoort.
Procesbeoordeling en inrichting: Daarna voer je met de proceseigenaar per proces een risicobeoordeling uit van de huidige risico’s aan de hand van de vereisten van NIS 2. Deze analyse zal tekortkomingen aan het licht brengen en richting geven aan de ontwikkeling van een gericht actieplan. Als een entiteit uit de energiesector bijvoorbeeld merkt dat haar capaciteiten voor het detecteren van incidenten tekortschieten, zou deze stap prioriteit geven aan het verbeteren van hun inbraakdetectiesystemen en responsstrategieën.
Ontwikkeling van businesscases: Maatregelen kosten tijd en geld. Help proceseigenaren met het creëren van een duidelijke kwantitatieve en kwalitatieve businesscase waarin de risico’s van niet-naleving worden geschetst, inclusief mogelijke boetes, reputatieschade en inbreuken op de beveiliging. Zet deze risico’s tegenover de voordelen van compliance, zoals een betere beveiliging, concurrentievoordeel en afstemming op internationale best practices. Kwantificeer deze voordelen waar mogelijk in financiële termen om een beroep te doen op de focus van het management op ROI.
Technische en organisatorische maatregelen: Implementeer de vereiste technische en organisatorische maatregelen en processen, zoals de meldplicht, om de geïdentificeerde gaps aan te pakken. Dit kan het updaten van software omvatten, het verbeteren van de netwerkbeveiliging en het herzien van intern beleid en procedures om incidentrespons- en rapportagemaatregelen op te nemen.
Trainings- en bewustmakingsprogramma’s: Dit gaat verder dan de trap-niet-in-een-phishingmail-en-ga-zorgvuldig-met-persoonsgegevens-om-e-learning. De effectiviteit van e-learnings is sowieso bewezen overschat, dus ontwikkel trainingsprogramma’s die zijn afgestemd op verschillende niveaus van de organisatie om ervoor te zorgen dat alle medewerkers hun rol op het gebied van compliance en beveiliging begrijpen. De training van proceseigenaren en leidinggevenden zou moeten gaan over nut en noodzaak van risicobeheer en governance, terwijl IT’ers meer gebaat zijn bij meer technische security-trainingen.
Testen en valideren: De PDCA-cyclus gaat ook over het regelmatig testen en beoordelen van de geïmplementeerde maatregelen door middel van oefeningen en audits. Dit helpt de effectiviteit van beveiligingspraktijken en naleving van NIS 2 te garanderen.
Regelmatige rapportage: Een goede rapportage waarin overall de voortgang op basis van de hoogste risico’s per afdeling/unit wordt gedeeld is essentieel om te zorgen dat er commitment komt en blijft. Vraag jouw directie wat ze willen weten, en als dat veel detail niveau is, waarom ze dat willen weten. Het kan een teken zijn dat er onvoldoende vertrouwen is in de organisatie, dat ga jij niet oplossen maar is wel iets om te signaleren. Let op! Het rapportagesysteem dat je opzet moet afhankelijk van het niveau minder of meer detailinformatie bevatten. Less is more! En je hebt liever dat mensen vragen stellen over dingen die je niet hebt opgeschreven, dan dat ze de weg kwijtraken in alle details, want dan is er betrokkenheid.
Dit project zal nooit “af” zijn, maar als de processen zijn ingericht, de eigenaren weten wat ze moeten doen dan gaan we naar de project EVALUATIE fase en kun je naar de steady state gaan.
Monitoring, evaluatie en continue verbetering: Als oplevering van het project kun je denken aan de volgende zaken om de overdracht naar de lijn te borgen
- KPI’s vaststellen: Ontwikkel key performance indicators om de effectiviteit van de geïmplementeerde maatregelen continu te monitoren. Hierbij kun je denken aan statistieken over responstijden bij incidenten, voltooiingspercentages voor trainingen van medewerkers en auditresultaten.
- Regelmatige beoordelingen: Houd regelmatig evaluaties met de stuurgroep/directie om de status van de naleving, de aanhoudende risico’s en de effectiviteit van de huidige maatregelen te bespreken. Pas de implementatiestrategie indien nodig aan op basis van deze beoordelingen.
- Continue verbetering: Risicomanagement en cyberbeveiliging is een dynamisch vakgebied, waarin regelmatig nieuwe bedreigingen opduiken. De backlog-werkwijze stelt je in staat om bij te sturen in geval van nieuwe bedreigingen, technologische ontwikkelingen en veranderingen in compliance-eisen.
Conclusie
NIS 2-compliance gaat verder dan alleen ISO27001/BIO of NEN7510 compliant zijn, het vraagt meer van de organisatie en biedt daarbij een uitgelezen kans om jouw risicomanagement inclusief het cybersecurity-framework van jouw organisatie echt te borgen. Met dit stappenplan kun je al een heel eind komen en vanzelfsprekend kun je jouw couleur locale zelf toepassen.
En maak het leuk! Het is een puzzel die we met zijn allen moeten maken en er is geen “one size fits all” oplossing, dat betekent dat je dus best creatief mag zijn. Je zult verbaasd staan over wat een multidisciplinair team met elkaar kan bedenken en realiseren. En, met een -aantoonbare- goede onderbouwing mag je ook risico’s ook laten accepteren door de verantwoordelijken.
Met een effectieve implementatie van NIS 2 toon je aan dat je voldoet aan de regelgeving, draag je bij aan een veiligere en weerbaardere samenleving doordat je een betrouwbare ketenpartner bent, en heb je ook nog eens een solide basis gecreëerd waarop het veel fijner bouwen is!